周利敏 钟海欣

(广州大学 ，广东 广州 51006)

一、缘起：斯诺登事件与网络安全治理变革

虽然网络一直是推动政治、经济与社会等发展的强大力量，但网络安全直到2013年斯诺登事件出现才成为国际社会关注的焦点。前中情局(CIA)职员爱德华·斯诺登 (Edward Snowden) 披露了美国政府对多个国家公民进行大规模秘密监控计划即“棱镜计划”(PRISM)，它由美国国家安全局(NSA) 2007年起开始实施。这一计划使得美国国家安全局可以实时监控民众正在进行的网络搜索，通过秘密接入传输网络的光纤电缆，还能有效截取和收集各种通信数据，例如电子邮件、即时消息和完整网络浏览历史等，这一事件的披露引发了全球不安与激烈争论。网络安全、审查制度和社交媒体监管问题以往是技术与专业讨论的狭窄领域，而现在已成为政府、民众与学界共同关注的重大问题。

斯诺登事件发生后，全球又出现了一系列网络安全事件，更加证实了人们的担忧并不是多余的。2015年7月，有“网络军火库”之称的意大利监控软件厂商Hacking Team被黑客攻击，400GB内部数据泄露；2016年，360情报中心累计监测结果发现针对中国境内目标发动攻击的境内外全球高级持续性威胁(Advanced Persistent Threat，缩写：APT)组织共36个，中国成为全球APT攻击第一目标国；2017年3月，维基解密(WikiLeaks)公布了大量美国中央情报局(CIA)内部文件；2017年5月，WannaCry勒索软件席卷全球，多个国家爆发勒索病毒攻击；2019年3月，伊朗黑客组织攻击澳大利亚、加拿大、新西兰、英国和美国的政府、外交和军事组织，旨在实现战略信息收集目标，如此种种，不一而足，网络安全问题引起世界各国普遍担心。

随着“斯诺登事件”的爆发，国内外学界也开始重视网络安全，代表性视角主要有：第一，“网络安全冲突论”。尽管互联网至关重要，但网络空间“道路规则”通常并不明确，已成为网络安全严重冲突的焦点。[1]第二，“相对自由论”。一些学者认为网络安全和数据保护虽然是同一元叙事的一部分，但为了保证国家安全，必须放弃一定程度的自由。[2]第三，“资本主义监控论”。扎波夫(Zuboff)指出斯诺登事件揭示了网络世界中的秘密逻辑即“监控资本主义”，它对“信息文明”产生了深刻影响，[3]不仅挑战了民主规范，而且背离了长达几个世纪的自由资本主义。第四，“网络安全共治论”。克里斯托(Christou G)指出全球网络安全面临严重挑战，建设和平、安全、开放与合作的网络空间，已成为各国共同面临的重大问题。[4]同时，网络安全需要多部门协同治理，而且通常必须快速。[5]第五，“数字媒体公民论”。在数字化时代，由于信息倍增或信息爆炸，隐私保护日益困难，因此，德怀尔(Dwyer T)主张公民有必要掌握数字隐私知识与技能。[6]第六，“区块链遏制漏洞论”。区块链在加强网络安全和保护隐私方面具有重要作用，它在发现网络风险后通过针对性措施有效遏制网络漏洞，公共政策应着重为利益相关者提供相关培训，同时增加对这一技术的投资。[7]第七，“网络安全治理法制论”，网络安全治理计划需要了解影响其组织的法律和法规，并使用适当标准或框架来制定网络安全政策与控制措施。[8]

综合上述研究，后期诺登时代网络安全研究主要有几个明显特点：①相关研究较为缺乏，研究视角有限，已有研究大多为描述性研究，深度解释性研究还比较欠缺，实证研究更是不足。②研究主题较为分散，大多侧重于网络安全溯源及现状研究等，多采取历史主义及自上而下管理视角，少见横向国际比较研究与自下而上社会参与研究。③国内与国外研究对话不足，虽然近几年来，国内学界研究兴趣日益增加，但与国外对话仍然不足，在研究主题、研究范围和研究视角等方面缺少交集。④操作性研究不足。抽象性研究较多，网络安全治理政策、方法、工具与策略等操作性较少，理论与实践之间还存在较大落差。基于此，本文将集中探讨这些问题：斯诺登事件前后全球网络安全治理观有何变化，后斯诺登时代出现哪些新趋势，对我国网络安全治理有何借鉴及如何反思全球网络安全治理实践？综合成一个核心问题就是：在后斯诺登时代，全球网络安全治理新论述是什么？

二、前斯诺登时代的网络安全观

由于网络具有广阔开放性、深刻渗透性、快捷流动性和广泛扩张性等特点，自诞生以来，其安全风险就一直存在，以斯诺登事件为界限，前期主要有以下几种典型的网络安全观或取向(见图1)：

图1 前斯诺登时代网络安全治理取向(本文图表均为作者自制)

(一)“自由主义”：不干预的信息流动

网络自由主义认为国家存在的根本目的在于保障个人自由与权利，安全并不是首要任务，它强调个人自由建立在理性基础之上，因此需要划清个人与社会权力界限，个人行为在没有触及他人利益或安全情况下，网络自由不应受到限制，它坚持自由高于主权原则。[9]网络是社会创新和经济现代化的重要手段，自由主义和不干预原则因此，应成为网络政策的核心，这体现了公民社会对网络自由的支持。网络自由主义由多方利益相关者构成，政府、公司与非政府组织是共存与平等关系。“信息自由主义”则主张在网络空间中信息自由流动，美国前国务卿希拉里·克林顿是这一观点的典型代表，她发表了三次“网络自由”演说，带有明显的冷战思维，她以自由主义为名谋取美国利益最大化。

(二)“无政府主义”：网络无边界的乌托邦

无政府主义排斥任何具有等级意义的个人或集体权威，主张在网络领域实行自主管理，因为网络空间具有独立性、跨国性、去中心化和分散性等特征，而国家主权建立在物理疆域之上，它无法对无边界网络进行有效管理。[10]在网络空间中，人们能够自发合作，进而实行自下而上的无政府管理方式，因而网络安全不需要立法、强权、特权、特许、官方及法律制约，这是一种企图突破网络物理疆域的无政府主义乌托邦理想。1996年，巴楼(Barlow)在其代表作《网络空间独立宣言》中主张网络生来就是自由的，任何试图将物理世界法律施加于它的做法都是不受欢迎且注定失败的，网络中自发形成了有效的治理体系。“新主权理论”是无政府主义的发展，它认为政府无权且无法管理网络，在网络空间中正在形成一个新的全球市民社会，有了新的组织方式、价值标准和制度规范等，对于网络冲突与网络安全也有自身处理方式。

(三)“技术主义”：专家用户建构的共同体

这一观点认为网络不需要任何法律条款或政治程序制约，网络技术就能解决所有的网络安全问题。它强调最终解决网络安全的是技术，技术会使法律与制度作用逐渐下降甚至消失。1986年，网络技术治理核心机构暨国际网络工程任务组成立，它负责制定网络技术标准，网络技术治理主义思潮逐渐形成。[11]1990年代以来，不少技术团队力争在网络领域中取得主导地位，声称网络专家和用户组成的共同体能进行“没有政府的网络治理”。这一观点认为即便美国主导了网络发展，但其理念、架构、技术与管理都是由专家技术团队具体负责的，他们才是网络治理的权威，其建构的网络秩序比政府建构的秩序更为民主。网络技术往往领先于政府政策，政府需要跟上网络技术发展步伐。

(四)“霸权主义”：监控全球的战略野心

网络空间作为全球信息和经济交流的重要媒介，它是一种全球公益物，需要有效领导才能避免巴尔干化。美国并不是天然的网络空间领导者，它成功说服其他国家在世界贸易组织(WTO)中将网络列为贸易免税区，网络空间被确立为开放的国际贸易媒介。[12]斯诺登披露的“棱镜”计划显示了美国监控全球的战略野心，其凭借资金、技术和政策等方面优势，在网络空间中事实上取得了霸权地位。由于网络空间具有跨国性质，美国主导了多利益相关者网络，将网络空间变成更容易被其控制的工具。在这一网络空间中，开放、稳定和安全的通信与商业网络为美国霸权主义提供了最好愿景与最佳途径。

(五)“单边主义”：不受限制的主导优势

在网络基础设施中植入监控系统，这是美国追求网络单边主义的具体体现，其取得了单方面不受限制的网络主导优势。为了获得实施网络攻击计划的合法性，美国将政治外交领域的单边主义移植到网络安全领域，通过鼓吹“网络自由主义”，企图消除网络空间的主权界限。因此，美国极力反对出台国际网络安全管理准则，反对联合国主导网络平等与多元治理理念，虚构他国攻击与威胁美国网络安全，为网络军备竞争寻找合法性。单边主义不顾其他国家网络安全，引发了他们对网络安全的强烈担忧，迫使其不得不参与国际网络安全军备竞争。

三、后斯诺登时代的网络安全观

(一)“数据主权”：网络空间的物理疆域

数据主权成为后斯诺登时代网络安全的主要议题，网络数据是网络安全的核心，具有虚拟化和广泛化等特点。吊诡的是，不同行为主体拥有不同的网络数据，但往往与其能力处于不对称状态，因此，需要制定特定法律和政策，保护不同主体的数据主权，斯诺登事件充分反映这一问题的重要性。[13]许多国家希望网络空间参考现实世界主权和物理疆域模式，建立起网络空间中的数据主权，这成为国家竞争的新领域[14]，越来越多的国家试图在网络空间中行使数据主权以有效管控网络安全。2017年3月1日，我国网络信息办公室与外交部共同颁布了《网络空间合作国际战略》，在总结我国维护网络空间主权经验的同时提出维护数据主权建议，明确数据主权原则作为治理网络安全的重要手段。

图2 后斯诺登时代网络安全治理观

(二)“政府主导”：网络治理的国家中心主义

“棱镜”计划表明美国网络监控技术远超其他国家，明显损害了他国基本利益，越来越多的国家视网络安全是一种持续性威胁，严重威胁到最高层面的国家安全。政府需要加强在网络环境中的监管力量，其主导网络安全的趋势日益明显。“棱镜门”事件后，德国开始质疑美国网络霸权，制定了国家网络策略加以应对，明确政府在网络治理中的主导作用。德国电信公司建立了“国家路由系统”，旨在把德国数据传输保留在本国，不需经过国外线路和节点以防被他国监控。[15]2013年，俄罗斯实行了网络控制政策，采取了“国家中心主义”理念。新霍布斯主义认为网络是一个混乱领域，它导致了全球网络无政府状态，“国家中心主义”才是有效的治理手段。[16]

(三)“多边主义”：全球网络的合作参与

斯诺登事件表明单边主义是网络安全的严重威胁，多边主义逐渐成为主要趋势。2013年9月，中国首次举办“东盟地区论坛框架下的网络安全研讨会”，提倡建立多边机制交流与合作。2015年12月16日，习近平主席在第二届世界网络大会乌镇峰会上指出，国际网络空间治理应坚持多边参与，由大家商量着办，发挥政府、国际组织、网络企业、技术社群、民间组织与公民个人等作用，不搞单边主义，不搞一方主导或由几方凑在一起说了算。[17]单边主义受到越来越多的质疑，一些国家开始挑战美国网络霸权主义地位。2014年5月，首届“东盟-日本网络犯罪对话会”在新加坡举行，双方就打击网络犯罪达成合作共识。新加坡已从“全能型”向“合作型”政府转变，强调政府在网络安全中的主导作用，同时动员社会参与。多边主义兴起的另一个重要原因就是网络群体日益增加，网民权益意识在不断进步，网络环境也越来越国际化。

(四)“风险意识”：网络安全的源头治理

“棱镜”计划引发了世界各国的普遍担忧，迫使人们有意识减少使用或更改在线活动内容。许多人开始认为网络不可信，只有强化网络风险防范意识，才能有效抵御网络安全威胁，民众风险防范能力成为网络安全治理的新关键。在信息化时代，隐私权与民众自我实现能力交织在一起，民众只有安全获得各种信息资源、充实自身知识及加强能力建设，才能在网络空间中实现自我价值。[18]新加坡大力营造网络安全优先意识，开展了“Total Defence”和“Let’s Stand Together”等活动，致力提高国民网络安全意识及风险辨别能力。[19]2016年澳大利亚制定了“网络大使”战略，希望通过加强民众网络风险意识以建立一个安全的网络世界。[20]

(五)“联合治理”：网络安全的跨国共识

全球化与信息技术紧密结合在一起，单一国家很难独自维护网络空间安全，各国需要通过合作来共同应对，网络安全已成为一个跨国问题。各国通过分享网络事件指标、恶意代码签名、新出现的风险行为者及安全威胁信息等，通过联合以增强网络安全的集体防御。[21]2013年，日本国家信息安全中心发布了《网络安全战略》，开始重视与加强网络安全的国际合作[22]。2014年9月，以“发展与合作”为主题的“首届中国-东盟网络空间论坛”在广西南宁举行，会议强调各国需要共同维护网络安全及深化国际合作；2015年以来，新加坡与美国、英国、法国、印度、荷兰、澳大利亚和德国签署双边网络安全合作备忘录，成立“计算机紧急响应组”(CERT)进行双边合作。“联合治理”希望就全球网络安全规范达成共识，以此制约网络武器扩散及惩罚网络犯罪，强调网络安全不仅是技术问题，更需要与其他国家通力合作。

(六)“信任讨论”：网络安全政策的关键

网络是建立在信任基础上的，它对于网络安全至关重要。斯诺登事件发生后，网络安全受到了前所未有的质疑。因此，任何关于网络安全的政策都必须讨论信任。在网络安全中，主要有两类信任。首先，民众必须信任国家情报监控对于其保护是必要的。民众信任政府秘密监视，虽然有时会侵犯隐私权，但这是为了保护国家安全所必须的。其次，国家需要保持多数秘密的情报活动，尽管违背了民众隐私权。因此，政府需要尽量保护民众隐私权，如果滥用民众信任，就会失去民众的善意。如果民众不信任政府，政府监控网络安全会变得更加困难，必要与合理的网络安全监视就会遇到许多阻碍。[23]因此，信任是网络安全政策的关键，国家需要建立弹性与可信赖的网络安全系统。(见图2)

四、前斯诺登时代与后斯诺登时代网络安全观比较

斯诺登事件引起了各国民众的极大愤怒，各国普遍希望加强网络安全治理。前斯诺登时代与后斯诺登时代网络安全观在治理意识、技术、主体、理念、主权与战略等方面有了很大的不同(见表1)。

表1 前斯诺登时代与后斯诺登时代安全治理观比较

第一，在治理意识层面，前斯诺登时代认为网络是安全与自由的，不需要政府干预，民众也无须对此担心。如果出现危机，只需危机爆发后加强应急管理，即可，主张规范应急响应的各个环节来加以应对。这一时期侧重于灾中应急，它是一种被动式的事后补救措施。后斯诺登时代则认为网络风险长期存在，强调“网络防御第一”原则，应以预防、预警与预控为主，这是一种事先预防与主动应对的策略。为了加强源头治理，需要提高民众风险预防意识，才能最大限度降低网络风险，进而建立整体性网络风险预防机制。

第二、在治理技术层面，前斯诺登时代认为网络安全只是一种技术问题，相关专家就可以解决，这是一种典型的“技术决定论”。后斯诺登时代则认为技术并不是解决网络安全问题的关键要素，需要上升到国家战略层面，才能有效应对，但网络技术重要性也不容忽视。经过网络技术先驱们不懈努力，已形成了内嵌于“代码”的网络技术规则。同时，常规网络技术已无法应对新型网络风险，需要及时更新与应用新网络技术才能满足治理需求，这是一种“技术重要论”，取代了前期的“技术决定论”。

第三，在治理主体层面，在前斯诺登时代，国际网络安全治理呈现单边主义特征，后斯诺登时代则主张多边主义，许多国家越来越对华盛顿的单边主义感到厌倦，从不同程度提升了网络主权意识。美国为了保持其世界影响力，也不得不向多边主义妥协。多边主义打破了前斯诺登时代各国“隔空喊话”状态，强调在平等与自主前提下，积极组建网络安全治理联盟，重新制定新的网络安全规范，共同营造安全的国际网络空间，大力推进国际网络安全对话。

第四，在治理理念层面，前斯诺登时代将网络安全视为网络世界的内部问题，政府不应干涉网络安全，网络空间不受国家主权限制，这是一种典型的“网络自由主义”。事实上，所谓的网络自由开放其实是处于美国绝对控制之下，它是以美国为中心的网络安全政策。在后斯诺登时代，网络空间安全已成为国际政治中的突出问题，许多国家反对网络霸权主义，网络空间被视为类似物理领域的具有虚拟边界的领土，因此强调政府主导与政府管制，政府应当承担起保护网络安全的责任。

第五，从治理主权层面，前斯诺登时代主张“网络无主权主义”与“网络无政府主义”，斯诺登事件爆发后，这一声音逐渐削弱。许多国家重申政府在网络安全治理中的主导地位与主权属性，以俄罗斯“国家中心主义”为典型。“网络无政府主义”是另一种网络霸权主义，它是美国颠覆其他国家网络主权的思想工具。“国家中心主义”则是对“无政府主义”的有效回应，它强调在网络空间中应维护每一个国家的安全利益。

第六，从治理战略层面，在前斯诺登时代，网络安全仅仅被看作是普遍领域的普通问题，后斯诺登时代认为网络不是国家政治生活中的简单现象，它已成为一个真正的国家战略问题，网络安全与国家政治、经济和社会等利益息息相关，它在国际政治中的重要性会继续增加，网络和平共处会越来越困难，全球可能走向“冷网络大战”时代，网络冷战政策可能无法避免，它上升到国家政治、军事、经济与外交等战略高度。随着互联网的发展，斯诺登事件对政府战略的启示意义会越来越强。

五、后斯诺登时代网络安全治理的国际实践

(一)硬法与软法并行的网络安全立法

网络安全立法对于建立安全及弹性网络安全系统非常重要，这也是目前世界各国的普遍策略(见表2)。2016年10月，新加坡颁布了《新加坡网络安全战略》(Singapore’s Cyber-security Strategy)，2018年2月5日《网络安全法》(Cybersecurity Act 2018)正式生效，[19]新加坡还颁布了《国内安全法》、《网络操作规则》、《网络行为法》、《垃圾邮件控制法》及《电子交易法》等，希望建立安全与具有复原力的网络环境，也是新加坡抵御网络攻击的新尝试；2013年6月，日本颁布了《网络安全战略》，提出了网络安全战略目标并确立了应遵循的基本原则及具体措施。[22]2014年11月，日本国会通过了《网络安全基本法》，作为后斯诺登时代网络安全治理的法律基础，强调在法制基础上加强政府与民间协调与合作。

表2 网络安全治理立法实践

斯诺登事件后， 由于奥巴马政府无法说服国会通过了全面的网络安全法规，越来越多地转向“软法”，它是一种“准法律”。2013年奥巴马签署了《改善关键基础设施网络安全》行政命令，2015年又通过了《网络安全信息共享法》软性法律，严格限制披露重要的安全数据。“软法”缺乏传统形式和机构文书的法规与条约，无需国会通过或由总统签署。“软法”对承认它的国家没有法律约束力，这是在不同国家及利益者之间达成共识的最佳办法。“软法”的优点就是灵活性，国家可以致力于改变规范而不会产生“硬法”的强制性承诺，但这也是其主要缺点。[24]“软法”一定程度上可以代表正在进行的实践，通过形成习惯进而最终凝结为“硬法”，“硬法”同样也需要根据世界网络安全格局变化保持弹性。我国一方面制定与出台了网络安全系列“硬法”，同时也出台了许多“管理办法”，其实就是一种“软法”。(见表2)

(二)网络安全技术人才的培养

斯诺登事件之后，许多国家认为网络安全治理需要大力培养技术人才及发展网络技术(见表3)。过去五年，美国出现20.9万多个网络安全工作职位空缺，2018年，信息专业人员职位需求增长了53%；[25]2016年，新加坡南洋理工大学、共和理工学院、淡马锡理工学院和新加坡科技设计大学联合电信公司与Blue Coat网络安全公司等表示，在未来五年投入2亿新元成立“网络安全卓越中心”，专门研究对抗网络攻击方法。2017年，新加坡南洋理工大学与以色列本古里按大学合作研发网络新技术以应对持续性网络安全威胁；2011年，东盟制定与发布了“东盟总计划”，希望建立技术先进和交汇良好的网络安全平台。2015年1月，第九次“中国—东盟”电信部长会议倡议建立“中国—东盟”计算机应急响应组织合作机制；2016 年4月，澳大利亚颁布实施了《网络安全战略》，提出技术人才是澳大利亚实现网络安全的基础。同月，澳大利亚企业主管协会(Australian Institute of Company Directors)和研究机构Data61制定了合作计划，旨在提高全澳洲主管层与董事层网络认识水平和能力。2017 年 2 月，澳大利亚宣布启动“网络安全学术卓越计划”，有意向的大学及学生都可以申请。(见表3)

表3 网络安全治理技术人才技术实践

(三)网络安全管理体制变革

为了应对日益严峻的网络风险，新加坡、美国和日本等国对网络安全管理体制进行了一系列改革(见表4)。2015年4月，新加坡成立了“安全委员会”，负责实施和监督网络安全战略，网络安全专员拥有广泛的监督、管理与执法权。[19]2017年初，新加坡通过“新网络安全法案”(Cybersecurity Bill)，进一步增强网络安全局(CSA)权力，促使各部门在严格管制下达到网络安全建设标准；2015年，奥巴马政府提出了“网络防御第一”战略，制定了严格的网络安全治理框架，主要由确定、保护、检测、响应和恢复等五个应急管理阶段构成。2016年12月，美国出台了《国家网络安全应急预案》，网络安全应急管理体系由此正式形成；2015年，日本政府成立了“网络安全战略本部”，同时将“内阁信息安全中心”改为“内阁网络安全中心”，加强中心与相关机构联系，并深化政府的主导地位。

表4 网络安全安全管理体制实践

(四)网络安全治理的多元模式

柯金(Kiggins R.D)认为跨国网络安全治理将成为全球不可抗拒的趋势，国际合作有利于消除与减少网络安全威胁，确保其作为全球信息和经济交流的稳定、可靠与安全媒介[21]，全球网络安全治理逐渐由单一治理思维向多元治理思维转变，政府逐渐成为网络安全治理主导，同时强调社会组织参与及联合各国共同治理。新加坡奉行“合作型治理”理念，主张政府主导与多方协同共治，同时积极推动与参与东盟网络安全治理合作，还注重与发达国家及周边国家合作。2013年，李显龙总理领导成立了研究、创新与创业理事会( Research Innovation and Enterprise Council) ，投入巨量资金实施“全国网络安全研发计划”( National Cybersecurity R&D Programme)，推动社会各方参与网络安全治理及技术研发，新加坡还积极参与了“东盟网络犯罪检察官圆桌会议”：美国提出“公私协力”治理模式，政府与民间共同致力于教育与培养网络安全技术人才；2015年9月，美国和中国签署了反对网络攻击协议；[24]2015年，澳大利亚加入“自由在线联盟”(Freedom Online Coalition)，与其他20多个联盟成员国建立了合作伙伴关系。2016年4月，澳大利亚发布了《网络安全战略》，总理和内阁被明确定为“政策的中心点”，同时与私营部门“共同领导”、“分担责任”、“自我监管”和“自愿治理”。[20]2017年至2018年，澳大利亚先后在布里斯班、墨尔本、悉尼与珀斯建立了网络安全中心(JCSC)，旨在促进政府、企业及学界之间的合作(见表5)。

表5 网络安全治理的多元模式实践

由于网络具有数字化、连通性和复杂化等特征，在信息化时代网络风险激增，在后斯诺登时代，许多国家在法律制定、技术人才、管理体制及治理模式等采取了一系列改革措施，侧重事先预防、技术合作、社会参与与多边对话等，“共享”、“合作”与“多元”等是这一时期的重要特征。

六、小结：全球网络安全治理反思与展望

2013年斯诺登披露的美国“棱镜”计划，促使各国深刻反思其网络安全治理政策，治理理念因此有了很大的不同。在研究的最后阶段，文章进一步强调几个观点：

第一，强调网络技术在网络安全治理中的作用。虽然前斯诺登时代“技术决定论”不可取，但也不能抹杀与贬低科学技术的重要作用，那样会落入意识形态和去科学化的陷阱。我国目前在网络安全技术方面还存在许多不足，虽然在网络技术自主创新、智能终端制造及新技术应用等领域取得了许多成就，但在基础性研发投入、专业人才培养和技术人才等方面也存在许多局限。斯诺登事件表明网络安全技术的重要性，网络安全治理尤其需要能够掌握抵御网络安全漏洞及网络入侵的专业人才。目前，我国这方面人才还相当短缺，需要通过网络安全高等教育、产学合作及职业资格认证等途径培养合格的专业人才。

第二，任何网络系统都不可能绝对安全，也没有绝对有效的网络安全技术与方法，网络系统总是容易入侵和被攻击的，因为它是人为技术构成的基础系统，人类因素成为网络脆弱性的关键点，尤其是普通民众脆弱性比其他群体更高。因此，需要提高民众网络风险意识以增加网络安全。另外，增强网络安全透明度也有利于增加网络安全，但管理者一方面需要增加透明度，另一方面需要在透明度与恐怖分子及其为跨国犯罪分子提供武器带来的风险之间找到平衡。

第三，信任在网络安全治理中具有非常重要的作用。信任不仅是指技术系统的可靠性，同时需要信任网络空间中的人，有效的网络安全治理建立在民众对政府信任的基础之上。斯诺登事件爆发后，美国在网络领域中遇到了信任危机。情报、国家安全部门及其他政府部门应当尽力维护其声誉，设法逐步取得公众信任，确保民众相信其在网络系统中是安全的，才能取得管理与监控国家安全的民众信任，才能保证国家安全治理的敏感性。信任机制也是建立跨国治理、多元治理与公私协作治理的基础，它有利于打破网络单边主义及霸权主义局面。

第四，政策制定者应特别注意道德信任在网络安全治理中的作用，它是网络系统复原力的核心，斯诺登事件表明美国政府破坏了公众与安全活动之间的信任结构。道德信任往往认为政府通过网络空间收集敏感信息监视民众行为是必要的，例如监视儿童色情圈，大多数人会支持这一侵犯隐私权的行为，但网络安全监视不应超出合理范围。斯诺登事件会促使政府削减监视计划，可能会造成一些心怀不轨之人访问敏感信息，从而造成安全信息的有害泄漏。政府需要避免滥用安全监视的道德信任，应在道德信任的基础上建构有效的网络安全监控体系。

第五，斯诺登事件引发的隐私辩论已经展开，隐私是否应该控制及是否应该访问，这一辩论将会长期存在。实际隐私损失与感觉隐私受到侵犯既有区别，又有联系，实际隐私被侵犯会损害个人隐私保护权，新的控制者可能会容易利用其隐私，个人感觉隐私受到了侵犯。另一方面，当个人感觉失去隐私控制时，即便隐私并没有真正受到侵犯，但个人还是感到脆弱，容易产生受侵犯心理，这可能比实际受侵犯更不利于网络安全治理。因此，政策制定者需要对二者进行区分，决策时需要考虑民众心理，将隐私访问控制在合理范围内及采取积极措施减少民众疑虑。

斯诺登事件表明传统网络安全治理理念失效，国际网络环境更加动荡不安，我们不仅需要加强国内网络安全治理，也迫切需要了解最新的国际趋势，从内政与外交层面共同构筑网络安全治理体系。通过分析比较斯诺登事件前后的网络安全治理观，不仅为学界提供了重要的理论参考，也为我国网络安全治理提供了极具借鉴意义的政策工具和实践指南。